在綠盟科技《2017物聯(lián)網(wǎng)安全年報》中指出,在對物聯(lián)網(wǎng)設(shè)備的篩查中發(fā)現(xiàn),有大量物聯(lián)網(wǎng)設(shè)備直接暴露在互聯(lián)網(wǎng)上,其中路由器和視頻監(jiān)控設(shè)備的數(shù)量最多。鑒于這些物聯(lián)網(wǎng)設(shè)備存在被攻擊甚至被利用的風(fēng)險,綠盟科技認(rèn)為在物聯(lián)網(wǎng)相關(guān)的安全問題備受關(guān)注的當(dāng)下,有必要對這些資產(chǎn)進(jìn)行分析和梳理,提升物聯(lián)網(wǎng)設(shè)備的防護(hù)能力。
物聯(lián)網(wǎng)產(chǎn)業(yè)前景和錢景雙在線
近年來,我國著重發(fā)力各類物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的建設(shè)和應(yīng)用推廣。遠(yuǎn)有,2016年國家“十三五”規(guī)劃;近有,國務(wù)院總理李克強在今年的政府工作報告中多次提及中國智造、物聯(lián)網(wǎng)等關(guān)鍵詞。物聯(lián)網(wǎng)產(chǎn)業(yè)在國家政策的加持下,發(fā)展亦是如火如荼。
將目光聚焦在物聯(lián)網(wǎng)產(chǎn)業(yè),在物聯(lián)網(wǎng)終端方面,IT 咨詢機(jī)構(gòu)Gartner 預(yù)測,自2015 年至2020 年,物聯(lián)網(wǎng)終端年均復(fù)合增長率為33%,安裝基數(shù)將達(dá)到204 億臺,其中三分之二為消費者應(yīng)用。在聯(lián)網(wǎng)的消費者和企業(yè)設(shè)備的投資為2.9萬億美元,年均復(fù)合增長率高達(dá)20%,將超過非聯(lián)網(wǎng)設(shè)備的投資。在連接技術(shù)方面,移動蜂窩接入技術(shù)也成為主流,截止到2017 年底,中國移動已有1.45 億物聯(lián)卡用戶,分布在車聯(lián)網(wǎng)后裝、共享單車、設(shè)備監(jiān)控等應(yīng)用領(lǐng)域。在平臺技術(shù)方面,物聯(lián)網(wǎng)平臺也成為運營商,互聯(lián)網(wǎng)巨頭,工業(yè)制造巨頭,以及新興平臺廠商之間競爭的主賽道。
毫無疑問,物聯(lián)網(wǎng)產(chǎn)業(yè)無論是發(fā)展前景,還是市場錢景均雙在線。
物聯(lián)網(wǎng)設(shè)備成物聯(lián)網(wǎng)安全重災(zāi)區(qū)
同時,我們也應(yīng)注意到隨著物聯(lián)網(wǎng)技術(shù)和產(chǎn)業(yè)的高速發(fā)展,物聯(lián)網(wǎng)應(yīng)用亦面臨嚴(yán)峻的安全挑戰(zhàn)。大量物聯(lián)網(wǎng)設(shè)備,如網(wǎng)絡(luò)攝像頭、路由器等直接暴露在互聯(lián)網(wǎng)上,容易被網(wǎng)絡(luò)爬蟲和惡意攻擊者發(fā)現(xiàn)。更嚴(yán)重的是,這些設(shè)備中有相當(dāng)大的比例存在弱口令、已知漏洞等風(fēng)險,可能被惡意代碼感染成為僵尸主機(jī)。一方面,這些被感染的設(shè)備會繼續(xù)感染其他的設(shè)備,組成大規(guī)模的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò);另一方面,它們接受并執(zhí)行來自命令和控制服務(wù)器的指令,發(fā)動大規(guī)模DDoS攻擊,對互聯(lián)網(wǎng)上的業(yè)務(wù)造成很嚴(yán)重的破壞和影響。
綠盟科技在報告中強調(diào),在物聯(lián)網(wǎng)相關(guān)的安全問題越來越引起關(guān)注的背景下,對這些資產(chǎn)進(jìn)行分析和梳理是有必要的。一種可行的研究方法是通過網(wǎng)絡(luò)空間搜索引擎去發(fā)現(xiàn)相關(guān)的物聯(lián)網(wǎng)設(shè)備,形成面向物聯(lián)網(wǎng)資產(chǎn)的威脅情報。在獲得相關(guān)數(shù)據(jù)后,可以技術(shù)上做進(jìn)一步脆弱性和風(fēng)險評估,并進(jìn)行物聯(lián)網(wǎng)安全態(tài)勢展現(xiàn)、分析,并做出處置和決策。
三維度梳理,物聯(lián)網(wǎng)資產(chǎn)安全堪憂
在這份年報中,綠盟科技對物聯(lián)網(wǎng)資產(chǎn)從物聯(lián)網(wǎng)設(shè)備、操作系統(tǒng)和云服務(wù)三個維度進(jìn)行了分析,并將相關(guān)研究成果在《2017物聯(lián)網(wǎng)安全年報》中分享。下面我們來看看《2017物聯(lián)網(wǎng)安全年報》中的幾點亮點:
1. 互聯(lián)網(wǎng)上暴露的各類物聯(lián)網(wǎng)設(shè)備中,路由器和視頻監(jiān)控設(shè)備的數(shù)量最多。
從綠盟科技的統(tǒng)計數(shù)據(jù)看出,暴露數(shù)量較多的設(shè)備相對來說偏傳統(tǒng)一些,物聯(lián)網(wǎng)惡意代碼感染的物聯(lián)網(wǎng)設(shè)備也以這些為主。當(dāng)安全研究人員在關(guān)注各類智能設(shè)備的破解時,對于傳統(tǒng)的路由器、視頻監(jiān)控設(shè)備等的研究也不應(yīng)忽視。對于安全研究人員的一大挑戰(zhàn)是,面對如此多的設(shè)備,如何提供一種妥善的防護(hù)機(jī)制,以有效抑制惡意代碼的傳播?
2. 全球數(shù)以億計的商務(wù)打印機(jī),僅有不足2%真正安全。
綠盟科技在年報中指出,打印機(jī)的安全問題應(yīng)該受到用戶和廠商的重視。從全球分布來看,打印機(jī)設(shè)備主要暴露在美國,總量超過了34萬,占比38%。很多暴露的某品牌打印機(jī)的HTTP服務(wù)沒有啟用認(rèn)證機(jī)制,遠(yuǎn)程用戶不需登錄即可進(jìn)入打印機(jī)管理界面。管理員可在管理界面中設(shè)置登陸密碼,可見打印機(jī)管理員的安全意識亟待提高。
事實上,只有不到44%的IT經(jīng)理人把打印機(jī)列入了安全戰(zhàn)略,與此同時,也僅有不到50%的使用者會使用打印機(jī)的“管理密碼”功能。也正是因為這樣,全球數(shù)以億計的商務(wù)打印機(jī)中只有不到2%的打印機(jī)是真正安全的。
3. 商用車的遠(yuǎn)程通信統(tǒng)一網(wǎng)關(guān)、網(wǎng)絡(luò)恒溫器等在互聯(lián)網(wǎng)上也有一定的暴露,其可能面臨遠(yuǎn)程登錄無密碼保護(hù)、設(shè)備停產(chǎn)缺乏安全維護(hù)等風(fēng)險。
在對暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析的過程中,綠盟科技發(fā)現(xiàn)一些數(shù)量相對較少的物聯(lián)網(wǎng)設(shè)備暴露在了互聯(lián)網(wǎng)上,如商用車的遠(yuǎn)程通信統(tǒng)一網(wǎng)關(guān)、網(wǎng)絡(luò)恒溫器等。這些設(shè)備的暴露,預(yù)示著隨著物聯(lián)網(wǎng)基礎(chǔ)設(shè)施建成和新型物聯(lián)網(wǎng)應(yīng)用豐富,安全問題越來越多的在互聯(lián)網(wǎng)上暴露出來。
4. 一些常見的物聯(lián)網(wǎng)操作系統(tǒng)在互聯(lián)網(wǎng)上有不同程度的暴露。
5. 越來越多的物聯(lián)網(wǎng)云服務(wù)會暴露在互聯(lián)網(wǎng)上。
隨著物聯(lián)網(wǎng)的蓬勃發(fā)展,物聯(lián)網(wǎng)應(yīng)用層協(xié)議也得到廣泛應(yīng)用。除了HTTP、FTP、SSH等通用服務(wù)外,運行MQTT、AMQP、CoAP等面向物聯(lián)網(wǎng)的通信協(xié)議的服務(wù)也暴露在互聯(lián)網(wǎng)上。這些物聯(lián)網(wǎng)云服務(wù)必然會暴露在互聯(lián)網(wǎng)上,原因有二:其一,很多家庭內(nèi)部的物聯(lián)網(wǎng)設(shè)備部署在網(wǎng)關(guān)后面,無法直接對外提供服務(wù),為了實現(xiàn)用戶在外網(wǎng)對設(shè)備的控制,需要設(shè)備與云端建立長連接;其二,物聯(lián)網(wǎng)設(shè)備大多數(shù)會工作在低功耗場景中或睡眠模式。只有需要傳輸數(shù)據(jù)時,才重新喚醒來重新建立連接以傳輸數(shù)據(jù)。所以云端服務(wù)必須時刻保持開啟狀態(tài),以保證設(shè)備可以隨時連接。
半年時間內(nèi),MQTT服務(wù)的暴露數(shù)量增長超過50%。這說明,伴隨著物聯(lián)網(wǎng)的廣泛應(yīng)用,暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)云服務(wù)的數(shù)量會持續(xù)增加。攻擊者也會把目光從傳統(tǒng)的Web服務(wù)和郵件服務(wù)等傳統(tǒng)服務(wù)轉(zhuǎn)向這些新興的物聯(lián)網(wǎng)服務(wù)。例如,在明文傳輸?shù)奈锫?lián)網(wǎng)應(yīng)用中,攻擊者容易將流量劫持后利用信息進(jìn)行欺騙,或進(jìn)行中間人攻擊;此外,攻擊者也可能覬覦物聯(lián)網(wǎng)云服務(wù)所存儲數(shù)據(jù)背后的價值,所以物聯(lián)網(wǎng)云服務(wù)的安全性需要引起物聯(lián)網(wǎng)解決方案提供商和云服務(wù)商的重視。
多角度給出物聯(lián)網(wǎng)安全建議
結(jié)合前述分析,綠盟科技分別從用戶、物聯(lián)網(wǎng)廠商和信息安全廠商角度給出一些物聯(lián)網(wǎng)安全的建議。
首先,用戶在購買物聯(lián)網(wǎng)產(chǎn)品后,應(yīng)該:
(1)修改初始口令以及弱口令,加固用戶名和密碼的安全性;
(2)關(guān)閉不用的端口,如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;
(3)修改默認(rèn)端口為不常用端口,增大端口開放協(xié)議被探測的難度;
(4)升級設(shè)備固件;
(5)部署廠商提供的安全解決方案
其次,物聯(lián)網(wǎng)廠商在設(shè)計、實現(xiàn)和運營物聯(lián)網(wǎng)應(yīng)用時,應(yīng)該:
(1)對于設(shè)備的首次使用可強制用戶修改初始密碼,并且對用戶密碼的復(fù)雜性進(jìn)行檢測;
(2)提供設(shè)備固件的自動在線升級方式,降低暴露在互聯(lián)網(wǎng)的設(shè)備的安全風(fēng)險;
(3)默認(rèn)配置應(yīng)遵循最小開放端口的原則,減少端口暴露在互聯(lián)網(wǎng)的可能性;
(4)設(shè)置訪問控制規(guī)則,嚴(yán)格控制從互聯(lián)網(wǎng)發(fā)起的訪問;
(5)與安全廠商合作,在設(shè)備層和網(wǎng)絡(luò)層進(jìn)行加固。
最后,信息安全廠商在推廣物聯(lián)網(wǎng)安全防護(hù)方案時,應(yīng)該:
(1)優(yōu)先關(guān)注暴露數(shù)量較多的物聯(lián)網(wǎng)資產(chǎn)的脆弱性分析;
(2)為物聯(lián)網(wǎng)廠商提供設(shè)備出廠前的測評服務(wù),將設(shè)備可能存在的風(fēng)險盡可能降低;
(3)關(guān)注物聯(lián)網(wǎng)設(shè)備的安全防護(hù),推出既滿足正常用戶的訪問,同時又可抵抗惡意攻擊的安全產(chǎn)品及解決方案;
(4)加大物聯(lián)網(wǎng)安全宣傳的力度,提高公眾的信息安全意識。
京公網(wǎng)安備 11010502049343號